用户中心微服务设计理念.pdf

用户中心设计理念 孙瑞 自我介绍  目前工作于互联网金融方向，现就职于泰然金融集团－小泰科技网络有限公司，任 职首席架构师。  负责集团移动产品平台部和公共平台事业部。  此前就职于 360，搜狐等公司。  主要擅长移动互联网、流媒体、金融方向。 本 ppt 说明  准备的比较仓促，也尚未美化和配图和系统化整理，请大家各个维度多多包涵。  明天中秋节，在此也提前预祝各位中秋节快乐！ 章节  用户中心的发展史  用户中心的令牌  多种场景下的认证解决方案  用户中心衍生的相关服务 用户中心的发展史，共五个阶段 2000,2005,20 10,20 15,未来 第一阶段，单业务场景，单较验，不需要用 户中心。  早期基于 mfc/qt/vb/dephi 等桌面开发技术的 erp 等软件。  用户在登陆系统时，弹窗认证用户名、密码、权限。  输入正确直接进入平台主界面。 第二阶段，单点SSO场景，基于本地、集中 式 session。  传统的 b/s 网站，用户登陆成功后，记录 session 维持整个会话。 第三阶段，单点SSO场景，去 session 化。  前后端分离技术的成熟，逐步使用 token 等方式取代了传统的 session 化。 第四阶段，开放、集中式的用户中心场景。  统一的用户中心域，独立的服务器组。  开放式的多用户登陆方式。  开放式的多用户登陆终端。  开放式 Oauth2 授权。 未来，多元化的用户安全认证的解决方案。  更多的的认证方式。  更广的认证场景。  更完善的令牌管理。  更安全的服务器。  更高的用户风控模型。 未来，其实就是解决机器识别人的问题。  第一阶段，解决机器识别人的问题。  第二阶段，多元化的解决机器识别人的问题。  第三阶段，解决机器识别人在业务中的共享问题。  第四阶面，不同业务场景下解决机器识别人的问题。  未来，解决机器识别的人是本人的问题。 用户中心的令牌  不同场景下的发放令牌  不同场景下的令牌放方式  多元化的用户的登陆方式  用户自助下的令牌安全  集中式的敏感信息仓储服务  用户行为大数据  服务器下的的令牌安全  用户接入平台的开放化 不同场景下的发放令牌  对内，面向内部令牌提供共享服务。  对外，第三方授权认证，但无法同内部令牌同步的场景。  外对，第三方需要依赖用户中心认证授权。  特权，面向高危操作时的令牌发放服务。 对内，面向内部令牌提供共享服务。  i, 走开放平台审核审核 key。  ii, 提供公共云的审请接入方案。  iii, 提供私有云的审请接入方案。  iv, 实现集中式令牌缓存及持久化储存。  v, 使用 vpc 等方案将公、私有云认证打通。 对外，第三方授权认证，但无法同内部令牌 同步的场景。  i, 基于 oauth2.0 技术面向第三方开放。  ii, 开放通用的服务，以便为第三方令牌无法打通情况下的使用场景。  iii，统计的用户管理后台，提供启用和禁用第三方。 提供内部高权限令牌开放，供管理后台，风 控操作方使用。  i, 根据用户中心产生的大数据做安全评级，如异地登陆等，确认使用验证码等场景。  ii, 根据特定的物理环境识别，如手机 imei/idfa，web jwt 内部存储唯一标识号。 多种场景下的认证解决方案  a, 记住密码的场景。  i, 指定时间如 7 天 15 天，主要面向如网页场景  ii, 指定自动以 7 天跃越时间顺延。  1, 长时间主要面向移动场景手机  2, 如 2 分钟场景应用到管理后台  iii, 关掉浏览器即失败的场景。  b, 一次性登陆的场景  i, 用户登陆仅支持操作某一个功能，操作完即失效。 多种场景下的登陆方式  a, 通过用户名或手机号＋密码登陆。  b, 通过短信码直接登陆。  c, 通过同域下某个子站完成 sso 辅助登陆。  d, 通过移动手机端扫码授权。  …… 多种场景下的解决方案  官方统一授权登陆页  官方统一的授权登陆移动 SDK  可定制化的登陆皮肤接口  可管理的个人令牌、登陆日志 用户中心衍生的相关服务  邀请分享服务平台  服务化的权限中心  集中式敏感信息存储  实时的监控及大数据分析 用户中心衍生大数据  产生大数据：  设备、时间、地域、平台、业务  利用大数据